Die Schwachstelle ist eine SQL-Injection im WordPress-Plugin WCMultiShipping, das WooCommerce um Versand- und Mehrfachlieferungsfunktionen erweitert. Bei einer SQL-Injection schleust ein Angreifer eigene Datenbankbefehle über unzureichend geprüfte Eingaben ein, die das Plugin ungefiltert in seine Datenbankabfragen übernimmt. Ausnutzbar ist der Fehler bereits durch ein Konto mit der niedrigsten Berechtigungsstufe – einen Abonnenten (Subscriber). Ein solcher Benutzer benötigt also keine erhöhten Rechte; ein gewöhnliches, auch selbst registriertes Konto genügt, um die manipulierten Abfragen abzusetzen. Über die eingeschleusten Befehle kann der Angreifer auf Inhalte der Datenbank zugreifen, die ihm normalerweise verschlossen bleiben, und je nach Konstellation gespeicherte Daten auslesen oder verändern. Betroffen sind WordPress-Installationen mit WooCommerce, auf denen dieses Plugin aktiv ist und bei denen Benutzer sich Konten anlegen können.